有关告密者爱德华•斯诺登揭秘美国国家安全局事件又有了新消息，且内容极度令人震惊：NSA（美国国家安全局）及其英国的”合作伙伴”- GCHQ（英国政府通讯总部）据称对金雅拓的网络进行了病毒感染，同时还窃取了用于保护数以亿计SIM卡的加密密钥。 如此大规模地对SIM卡进行病毒感染不禁让人对全球蜂窝通讯系统的安全性打上了一个大大的问号。这并不意味着你的通讯正在受到监视，但真要监视的话只需一个按键即可实现。 如果你不了解金雅拓是什么公司的话，在这里我可以告诉你，这是一家移动设备SIM卡的生产厂商。据《经济学人》杂志报道，事实上，该厂商所生产的SIM卡数量远超世界其它任何的SIM卡厂商。 刊登在The Intercept上的文章最先发出了”指控”，该文章估计金雅拓每年生产大约20亿张SIM卡。联系一下其他方面的数据，目前全球人口达71.25亿；而移动设备估计有71.9亿台。据报道，金雅拓的总共450家客户中，其中不乏知名的移动服务提供商：Sprint、AT&T、Verizon和T-Mobile等。公司在全球85个国家拥有业务，并运营着40家生产基地。 SIM是”用户识别模块”的缩写。SIM卡就是插入你移动设备的小型集成电路。其中内含唯一的”国际移动用户识别码”（IMSI）以及一个加密的验证密钥。该密钥由一串数字组成，主要用来验证你的手机是否真的是你的。这就好比是登录密码配对，但由于完全基于硬件因此无法更改。 一旦拥有了这些密钥，网络攻击者即能够监视移动设备的语音通话和数据通讯，但前提条件是知道这些设备所装SIM卡的加密密钥。如果这些指控属实的话，这意味着NSA和GCHQ的确能够在全球范围监视大量的蜂窝网络和数据通讯，且无需任何理由和司法认定。 你可能经常听说非技术媒体谈论大量有关NSA所开展与元数据相关的活动，但诸如此类的泄漏事件以及被揭秘的受感染伪随机数发生器的的确确是个麻烦。元数据是一系列敏感信息，可以告诉你受害人的位置、联系人名单及其一切个人信息。针对SIM卡或加密协议的大规模攻击能让网络攻击者实实在在地看到—以纯文本形式—我们与他人通讯的所有内容。尽管许多内容可以从受害人的位置和设备交互信息推断而得，但纯文本形式的通讯内容却无从推断。正如上文所说，这些通讯内容都可以实时获取，根本无需进行任何的分析。 据报道，The Intercept将NSA前承包商所窃取的一份机密文件公之于众，其中NSA是这样说的：”[我们]成功将病毒植入多台[金雅拓]计算机，相信我们已掌控了该公司的整个网络…” 隐私和蜂窝通讯并非是我们唯一关心的问题。伴随而来的还有大量财务问题的产生。正如美国民权同盟成员-技术专家Chris Soghoian以及约翰•霍普金斯大学译码者Matthew Green在The Intercept的这篇文章内所注意到的，SIM卡设计并非只为了保护个人通讯。其设计还为了简化账单流程，以及在蜂窝网络刚开始使用的阶段防止用户对移动服务提供商进行欺诈。而在一部分的发展中国家中，大部分人使用的都是过时且防范薄弱的第二代蜂窝网络，许多用户依然依靠其SIM卡进行转账和微型金融服务操作，就如同广泛流行的M-PESA支付服务。 针对金雅拓的网络攻击可能会对全球通讯基础设施的安全性产生影响，而这些通讯基础设施对于移动设备以及安装在内的SIM卡的依赖性越来越高。 不仅仅只有发展中国家会产生经济问题：金雅拓还是芯片以及使用PIN码或EMV支付卡内微芯片的大型制造商，此类支付卡则是欧洲最主要的支付方式。这些支付卡同样也有被感染的可能性。据the Intercept报道，金雅拓所生产的芯片还被广泛应用于大楼门禁、电子护照、身份证以及某几款豪华汽车品牌（宝马和奥迪等）的钥匙。如果你的芯片和PIN码银行卡是由维萨、万事达、美国运通、摩根大通或巴克莱发行的话，那你支付卡内的芯片很有可能就是金雅拓所生产，而里面的加密密钥也可能已经被病毒感染。 尽管受到一系列的指控以及在所谓的秘密文件中也被谈及，作为当事方的金雅拓却坚决否认其网络安全已受到病毒的感染。 “不论是在运行SIM活动的基础设施，还是安全网络的其它部分，我们都没有发现任何黑客入侵的迹象，因此不会对诸如银行卡、身份证或电子护照在内的其他产品产生危害。我们每一个网络都单独分开，也从未与外部网络连接。”公司在其声明中这样说道。 然而，公司此前的的确确曾挫败过多起黑客入侵尝试，有理由相信是NSA和GCHQ所为。 该事件以及许多斯诺登所揭秘的内容有一个重要问题并未引起注意，那就是这份文件注明的日期是2010年。换句话说，这一所谓的SIM卡计划已经实施了5年的时间，而该技术也是在5年开始使用的，而5年已经到了一台计算机使用寿命的期限。 除了个人以外，SIM卡密钥受病毒感染的风险还会将我们所有人的个人隐私暴露在危险之下，如果斯诺登揭露的文件属实的话，这一网络攻击将导致各国与美国国际关系的交恶。还记得两个月前吗，我们中的许多”激进派”都对朝鲜政府黑客攻击索尼影业的事件是否属于战争行为不置可否？该网络攻击很有可能是朝鲜政府所为，但事实上幕后却可能另有他人，对电影工作室进行了攻击并将一些电影剧本和电邮内容公布到了互联网上。针对金雅拓的网络攻击可能会对全球通讯基础设施的安全性产生影响，而这些通讯基础设施对于移动设备以及安装在内的SIM卡的依赖性越来越高。

有一天醒来我发现手上的多了一片创可贴，贴在了我的拇指和食指之间的一个小伤口上。那是我前一天参加跆拳道比赛时留下的伤口。前一天我去哪儿了，在我身上到底发生了什么？ 慢慢地，一连串的画面在我的脑中一一浮现：闪光灯、观众的欢呼声、刺鼻的防腐剂味道以及手持特殊注射器的纹身男。 “好吧，再没有任何退路了。你不是想改变这个世界吗，就去做吧！”我这样想着。我最终在短短的几分钟内将NFC生物芯片植入到我的皮肤下面。 没错，这些完全是好莱坞式的电影情节： 但在现实中，远没有那么酷和简单，这是我在此次试验中最先体会到的。为了植入芯片，你需要一支3毫米粗针管的特殊注射器。比医用常规针管要粗得多。 在这过程中不使用任何麻醉剂。注射师给了我一个灿烂的微笑并说了些 “如果你能握紧拳头的话就不会感觉痛。让我们开始吧！”诸如此类的话。当我还在努力理解注射师所说的这些话的时候，我发现注射针管已经扎进了我的手。我好像听到了钢制针管在我皮肤下注射的声音。 整个注射过程仅用了5秒钟都不到。其疼痛感就相当于抽血化验的感觉—手指、血管和屁股同时产生疼痛。所以下一次的话，最好还是进行局部的麻醉（起码喷雾麻醉）为妙。 不错，下次必须使用麻醉剂。显然，与芯片植入技术有关的问题不计其数，如果都写在纸上的话，拼起来的话将比整个银河系的面积还要大。为了解决其中大多数的问题，我们将需要开发新一代的芯片，但必须要基于早期接受者的反馈才能不断更新升级。 为那些非专业领域人士以及第一次听说的人准备的补充说明：就在几天前，在SAS2015峰会上我们将来自全球最顶尖的安全信息专家、领导者以及数名卡巴斯基实验室员工聚集到一起，共同参与皮肤下植入芯片的试验。 一同参与试验的还有两名志愿者：我自己和卡巴斯基实验室欧洲人事部主管Povel Torudd。Povel Torudd是瑞典人，但目前居住在伦敦。 这到底是一块什么样的芯片呢？它是一个极小的（大小仅为12 x 2毫米）微型装置，最多可储存880字节内容，一旦植入后能与周边高科技设备进行交互作用，包括智能手机及其应用程序、笔记本电脑、电子锁、公共交通进入闸道以及各类物联网世界的例子。所有交互过程均采用无线技术，触摸即可启动。 正如往常一样，’植入芯片’的主意是大家在酒吧一边喝酒一边讨论互联网发展的时候定下来的。 从某种意义上说，我可能是第一个受大型机构资助的俄罗斯人生控体，该机构与本次试验的结果有着直接的利益关系。 我和Povel是在SAS2015峰会之前3个月才决定参加’芯片植入’试验的。还是在酒吧：我们坐在一起一边喝着啤酒，一边讨论着互联网的发展。谈论的话题包括：互联网的显著优势以及诸如技术陈旧的一大堆互联网缺点，而陈旧的技术之所以还在使用的原因可以引用尼尔•斯蒂芬森在其《编码宝典》科幻小说中一句最经典的台词’摩多不是那么容易进去的’： 道理很简单，老的技术通常已为大多数人所熟知和了解，且上手操作简单；此外所有目前的电子和软件技术在现有框架内建立和测试。在取得成功的同时，公司的利润空间也已被压缩得很小以至于只有采用量子学技术才能计算出来，而一旦新开发技术发生与老技术不兼容的问题，你的公司将立即被打回原型。 举个例子来说，我们长期以来都使用密码认证的方法，关于所存在的缺陷，所有信息安全行业业内人士都已达成了共识。 在酒吧我们一直畅聊到了深夜，最终做出了这个决定。我们认为现在到了表明立场以及改变世界向更美好方向发展的时候了，而且是以一种激进和大众时尚的方式来展示属于我们自己的创新（假设不会受到所谓30年更新循环期的影响）。并没有任何人强迫或要求我们将芯片植入体内，同样参加此次试验也是毫无报酬和自愿的。 对于生物体与计算机之间的协同效应我深表关切–未来不可避免将面对–这将使仿生学成为高科技的一个分支。问题在于许多现代技术在开发时，不可避免地都疏忽了安全和隐私方面的问题。 这样的例子举不胜数：卡巴斯基实验室欧洲研究人员David Jacoby只花了极短的时间就成功入侵了自己的智能家庭。 然而，一台联网的咖啡机或智能电视根本无法与人类生物体相提并论。我对参与该试验志愿者的要求有两个：一是能够了解该技术的优点，二是能发现其缺点和漏洞。随后通过将一些相关保护方法概念化后，在有生之年将其开发成形。 目前最紧要的工作是如何避免我们的后代成为仿生网络犯罪分子手下的受害者—这样的事情迟早将会发生，统计数据将会告诉我们一切。 从理论上说，大范围应用体内植入芯片依然至停留在想象的阶段。未来不仅可能会被用于打开办公室和家里的大门以及车门，还可管理数字钱包以及无需密码的情况下开启设备（芯片本身可以作为标识符使用）。如果高科技继续高速发展的话，密码保护方法将很快消亡。 此外，植入芯片也可用于重要个人数据的加密存储器，包括：医疗记录、个人档案以及护照资料等内容。其好处不言而喻，一旦这些信息被泄露的话，你就能知道是谁在什么时间以及因为什么原因访问了这些内容–当然是为了个人隐私考虑。 对于我自己来说，还确定了本次试验的五大目标：

2015年2月19日，联想笔记本电脑搭载预装了被称为”Superfish”广告软件的硬盘的事件遭到曝光，而两大主要问题也随之而来。 其一，在2014年9月到2015年2月这几个月内，联想指定的硬件制造商持续将预装了广告软件的硬盘装载到消费笔记本电脑内。 其二，则与Superfish的运行行为有关。该广告软件能够生成自签名证书，可能允许恶意第三方拦截SSL/TLS连接，更简单地说，就是在网页浏览器会话内添加“https”链接。 现在，让我们通过观察Superfish的实际行为来更详细地剖析第二个问题。 下方是通过IE浏览器访问的一家网上银行网站的截图，并且使用的是一台没有安装任何广告软件的干净PC电脑。点击锁定图标，显示的是SSL证书的信息： SSL证书由CA证书授权中心签发，确保网站的归属性。比如，VeriSign作为SSL证书的签发机构保证了”Japan xxxx BANK Co,Ltd.”的真实身份。该证书还被用于对加密会话上的用户ID或密码进行加密。因此连接的安全性得以通过这一方式得到保证。 第二个截图显示的是同一家网站。但这次却使用了已感染Superfish广告软件PC电脑上的IE浏览器访问。点击后清楚显示”Superfish”取代”VeriSign”成为了SSL证书的签发机构。 为什么会有这样的变化？原因在于Superfish在其软件上拥有自己的CA证书授权中心。这使其能够劫持用户的网页会话、生成自签证书并在使用后建立SSL连接。不幸的是，网页浏览器将Superfish生成的证书当作合法证书对待。因此，CA证书授权中心变成了Superfish，而不再是VeriSign。 此外，生成证书的私人密钥被包含在了软件内，任何人都可以随意获取。而密钥的密码已被外泄到互联网上。一旦密钥-密码匹配成功，任何怀有不良企图的人都可以拦截通过加密连接传输的数据，或直接注入恶意代码。最糟糕的情形是来自网上银行网站的网页会话内的数据被窃取。 因此我们强烈建议预装了Superfish广告软件的联想笔记本电脑用户将名为”Superfish Inc. Visual Discovery” 的软件（在Windows控制版面内卸载）和Superfish证书（从受信任的Root认证机构清单中删除）全部清除。 卡巴斯基安全产品能帮助您识别笔记本电脑是否已受到Superfish广告软件的感染。我们的产品完全能删除并未识别为病毒的广告软件：AdWare.Win32.Superfish.b。 此外，联想也在其安全公告（LEN-2015-101）内提供了自动删除Superfish工具的下载。

你喜欢在开敞式办公空间内工作吗？许多人的答案为否。最常提到的缺点包括：过多的嘈杂声、无法集中注意力以及因为不断被同事打断而更易产生疲劳。将整个办公空间隔为一个个小隔间的好处并不多，但却会产生更多的问题。 与此同时，随着未来办公室都朝着’时尚’迈进，私人办公室将彻底消亡。据国际设施管理协会于2010年所的研究报告显示，大约70%的美国办公室坚持开敞式办公空间理念，且这一数字在不断增加中。 问题究竟出在哪里？ 当然，雇主的本意并非是想”虐待”自己的员工。开敞式办公空间之所以如此流行的主要原因在于其低廉的成本。办公空间越紧凑，所需支付的租金就越少，因为利润也越高。很简单的一道数学题。 而在现实中并没有那么简单。因为员工是活生生的人，而非机器。因为情绪和身体状态的负面反应却会严重影响工作效率，进而最终导致公司收益的减少。 同时许多研究机构也宣称这一问题真实存在。在开敞式办公空间工作的人不仅感觉更糟和工作效率下降，同时还更容易生病。 举个例子，在开敞式办公空间工作的人相比在单独办公室工作的，感到短时间恶心（无需医疗救助）的频率更高。此外在无窗办公空间工作的人也容易产生抑郁和睡眠障碍。 那么我们该如何应对这些状况呢？下面我为你们精心准备一些小贴士，通过利用更为人性化的方法来应对令人窒息的小隔间和开敞式办公空间。 内向型员工的工作习惯 一般来说，并非每个人都会在这样的工作环境下感到不适。但对于内向型员工来说的确是一个挑战，因为他们将无法安静地独自工作，就如Susan Cane在其书中所提到的全球化形势下内向型员工所担任的角色。 这也是为什么内向型员工在开敞式办公空间工作时应该有自己的指定空间。因此需要有几间为了工作目的而改造的房间，在里面可以集中思想工作，而其他同事则可以在里面休息和小睡片刻，并暂时离开嘈杂声和人群。来自Steelcase的Cane将这一想法变为了现实：装饰此类空间所花费成本大约为1.5万美元。 有一件事依然无法确定：如果外向型员工也开始趋于内向的话那该怎么办呢？谁会拒绝在工作时间小睡一会呢？如果这样的设施无限制对所有人开放的话，那在经济至上的原则下又该如何处理呢？ 一家位于英国的公司Agile Acoustics发明了一个更加民主的方法：公司使用再生材料（塑料瓶）制作了几块吸噪音板。 此类吸噪音板的外形极具吸引力，可应用于多种目的：吸收噪音以及将自己与喋喋不休的同事分开。或者在某一天，通过将吸噪音板重新摆放在办公空间中间，从而创造出一个临时会议室。 办公无处不在 灵活性和可重新配置能力是选择办公室家具的重要条件。原先一成不变的固定办公室格局现在通过动态调整后，可应对不断变化的工作环境。 例如，一家美国家具厂商Herman Miller在其MetaForm产品组合系列中采用了轻质塑料元素，可用于创建类似搭建积木的便利办公室环境。如果你需要进行集体讨论和团队活动时—只需将所有办公桌摆到一起即可。一旦你有了新的想法并需要花点时间完成的话，只需将自己的办公桌从共享空间移开又变回了一个独立小隔间。 一家西班牙公司Menéndez and Gamonal Arquitectos则采用了另一个完全不同的方法。该公司认为，办公家具的外形设计应该是为了鼓励团队工作。比如，坐在外形类似调色板的办公桌工作时更能促进团队协作。 这一想法最初由某大学研究小组想出来，旨在鼓励学生在上课时相互讨论而非只固定坐在自己的位子。但一般来说，这一方法在商务环境中更加行之有效。 亚瑟王的秋千 类似于Google或Facebook这样高科技公司的办公室与传统冰冷的工作环境完全不同，他们的办公室内到处摆放了沙发、球体和其它非标准化的办公元素。英国设计师Christopher Duffy提出了进一步的建议：他认为会议室应该摆放…秋千。 首先，在荡秋千时，人们很难再重复说一些毫无意义的废话，而这正是许多公司会议中最多的内容。其次，这一非传统的创意有助于让每个人放松并处于舒适状态下，如此便能跳出固有思维模式进行思考了。当然，一笔开销总少不了的。可容纳12人开会的”带秋千的亚瑟王会议圆桌”售价高达1.6万美元。 Belois

墨西哥坎昆—卡巴斯基实验室研究人员发现了有史以来第一个以阿拉伯语编写高级持续性威胁（APT）的黑客小组。该黑客小组被冠以”Desert Falcons”（沙漠猎鹰）的称号，总共由30名左右的成员组成—其中有一些赫赫有名—在巴勒斯坦、埃及和土耳其经营业务，并据说通过对中东市场的拓展独家经营众多商品。但对于”Desert Falcons”背后是否有政府的资金支持目前仍然无法确定。 他们的”攻击武器”种类繁多，包括：自制恶意软件工具、社交工程以及旨在对传统和移动操作系统实施和隐蔽活动的其它黑客技术。Desert Falcons的恶意软件专门用来从受害人身上窃取敏感信息，随后被用于进一步的犯罪活动，甚至用来对受影响目标进行敲诈勒索。 据卡巴斯基实验室全球研究和分析小组表示，该APT黑客小组之所以将这些受害人选定为攻击目标，目的是窃取他们所掌握的与其在政府或重要组织内职位有关的机密或情报资料。 这些受害人总共被窃取了超过100万份文件。 “这些受害人总共被窃取了超过100万份文件。”反恶意软件公司说道。”被盗文件包括：大使馆的外交文书、军事计划和文件、财政文档以及VIP和媒体联系人清单和文件。” Desert Falcons攻击致使大约3000人受到影响，范围遍及50多个国家。大多数受害人位于巴勒斯坦、埃及、以色列和约旦境内，但在沙特阿拉伯、阿联酋、美国、韩国、摩洛哥和卡塔尔等国也有所发现。 受害人有些来自军事和政府组织；有些任职于卫生组织以及反洗钱、经济和金融机构；还有些是领导媒体实体、研究和教育机构以及能源和公用事业供应商的员工；当然还包括一些社会活动家和政治领袖、实体安全公司以及拥有重要地缘政治信息访问权的其他目标人。 Desert Falcons实施攻击所用工具还包括了植入传统计算机的后门，即攻击者通过安装能够记录击键、截屏甚至远程录制音频的恶意软件得以实现。此外，他们还采用了可暗中监视短信和通话记录的安卓版移动组件。 有趣的是，研究人员在卡巴斯基实验室安全分析专家峰会上介绍Desert Falcons时透露，该黑客小组的APT攻击首次在有针对性的攻击中采用Facebook聊天，即通过常规Facebook页面与攻击目标取得联系，在获取受害人信任后即通过隐藏为照片的聊天向他们发送木马病毒文件。 该黑客小组早在2011年就开始构建其工具，并于2013年首次成功感染，而在2014年末和2015年初的时候Desert Falcons的黑客活动才真正开始活跃起来。似乎该黑客小组目前的活跃程度远胜于以往任何时候。 卡巴斯基实验室表示其产品能够有效检测出并阻止被用于这一黑客活动的各种恶意软件。

最近，有关物联网的话题在IT业界火热讨论中。一下子好像所有东西都应该被联网：冰箱、咖啡机、电视机、微波炉、健身智能手环以及无人飞机。但这些东西也仅仅也只是冰山的一角。 物联网是因为在线社区网络的独特性才得以获得如此高的关注度，而一旦有消费性电子产品加入物联网必定会遭到媒体连篇累牍的报道。但在现实生活中，加入物联网的不仅仅只是家用电器。 有大批家用电器可能会被联网–其中有一些 – 联网根本毫无必要。大部分消费者几乎很少能想到一旦智能连接的家用电器遭黑客攻击的话，其危害程度远胜于个人电脑。 在《卡巴斯基每日中文博客》中我们定期会刊登有关一些让人意想不到的存在漏洞连接设备的文章。而David Jacobi在各大信息安全会议上所发表的关于他如何黑客入侵自己智能家庭的风趣演讲，一如既往给现场观众带来欢笑声以及随之而来佩服的掌声。 来自Laconicly公司的Billy Rios也带来了另一个有关黑客入侵洗车场的生动有趣的例子。洗车场。大家都知道，使用巨大刷子和泡沫洗车的地方。如今的洗车场也拥有了联网的智能控制系统，因而易于遭受远程黑客入侵。 一旦成功入侵，黑客就能获得有关洗车场运行各个方面的全方位控制。网络犯罪分子几乎可以为所欲为，包括获得免费服务。其原因在于车主账户有权访问多种工具，其中就包括支付系统。黑客通过获取出入口的控制权从而控制在洗车场内清洗的整辆汽车。此外，这还可能会破坏洗车场或损毁车辆，原因在于洗车设施内装备有大量移动组件和功率强大的发动机。 还有什么别的东西可以黑客入侵的吗？当然，只要你想得到的都可以！例如，在2015年安全分析专家峰会（SAS 2015）上，来自卡巴斯基实验室的安全专家Vasilis Hiuorios就报告了他对于警方监视系统的黑客入侵。而警方原以为定向天线足以确保通讯的安全。 如果说警方也如此粗心大意任由黑客入侵他们的网络和设备的话，那联网器件制造厂商的安全意识更令人担忧。来自卡巴斯基的另一名专家Roman Unuchek也在SAS 2015峰会上展示了如何对一款健身智能手环黑客入侵：在一连串的简单操作后，任何人都可以与健身智能手环相连，并下载有关手环所有者位置跟踪的信息。 总而言之，问题的关键在于那些开发和生产联网家用电器的厂商所面对的是一无所知的全新世界。他们最终发现自己面临的形势就好比是篮球运动员参加象棋比赛，而且对面坐着的对手却是一名名副其实的象棋大师。 而联网设备的实际用户所面临的情况还要更糟。他们根本不会去考虑任何的网络安全问题。对于一名普通的消费者而言，联网的微波炉和普通微波炉并无太大差别。这就好比网络用户从未想到过装备齐全的联网计算机会对我们的物质世界产生如此巨大的影响。 家用电器一窝蜂地进行联网迟早会对广大消费者带来不利影响。考虑到不管是用户还是电器厂商都在物联网世界中面临着艰巨的挑战，因此后者更应该开始考虑如何才能提升自己产品的安全程度。对于用户而言，我们的建议是尽可能不要使用过于”智能化”的联网技术。

我们（以及其他许多网络安全博客）常常会写一些有关各种盗读技术和以其它方式窃取银行卡的文章。今天，我们将讨论那些表面看上去并不危险，但却的的确确存在却被大多数银行卡用户所忽视的风险。我们即将讲述的故事是有关跨境支付的风险以及在支付系统内所发现的内在缺陷。 无需CVV代码的支付交易 许多人总认为必须输入CVV代码（印在信用卡背面的三位数字）才能完成在线交易。然而，有些网店却能跳过这一步骤，且无需将密码传送至支付网关。 就这一问题我们询问了DiaSoft商务拓展部研发主管Sergey Dobrinyuk，他是这样评论道的：”要完成在线交易通常需要提交这些认证信息：卡号、有效日期、印刻在卡上的持卡人姓名以及印在卡反面的CVV代码。” “凹凸印字卡片（持卡人姓名的字母在卡表面凸起显示）在在线支付时使用得更加频繁，且通常来说这些卡的级别较高，比如：VISA经典卡和VISA金卡等。发卡行则会对客户的身份和购买力进行核实和评估。这也是为什么在交易金额不大的时候，如果能确定是”高品质”买家的话，卖家可能只会验证卡号的真实性而跳过授权认证这一环节。” “这就是所谓的’免授权限额’。一些银行和网店的免授权限额最高可达1000美元。” Dobrinyuk说道。 据有关专家称，一些新兴市场的 “高品质”客户并非都能享受到如此的优待，而通常来说支付系统也会部署更多的安全等级，但目前还不存在共享的银行卡认证信息政策—每一家网店完全可以制定自己的规则。 “所有无需PIN码或3D Secure验证的远程交易都可能受到用户的质疑。如果你对交易的合法性抱有疑问的话，完全可以向银行申请退款，在银行调查清楚后便会将这笔钱退回到你的账户。” Dobrinyuk说道。 Dobrinyuk建议网购用户只在那些拥有3D Secure标准（VISA卡和万事达卡分别对应”Verified by Visa”和”SecureCode”）的网店进行在线交易—作为一种双重认证方式，交易时必须输入通过短信发送或打印在ATM凭条上的一次性密码。 不幸的是，网店完全能自行决定是否需要在其支付系统内部署额外的安全等级。就算你的信用卡受到3D Secure的保护，但网店依然可能跳过这一步骤。 使用虚拟信用卡也有助于提升安全保护等级。此类信用卡通常有效期很短，且所涉金额较小。即使遭受黑客入侵，主卡的支付认证信息也不会被泄露。 正如你所知的，将你的信用卡卡号告知他人并不是一个好主意。如果有网络犯罪分子引诱你透露持卡人姓名和卡有效期，那他很有可能就能从你的账户内窃取资金—就算没有CVV代码也完全可行。好消息是此类情况你可以向银行申请退款。但也有坏消息，就是你需要自己甄别欺诈交易并行动迅速。 仅限电子联机交易 对于VISA电子信用卡和其它采用各种不同支付系统的入门级信用卡产品，人们都有一个共同的误区。此类信用卡没有印刻任何信息但在卡正面却印有免责声明：”ELECTRONIC USE ONLY（仅限电子联机交易）”。 许多人都误认为这样的卡无法用于在线交易，但事实上这完全由发卡行决定。支付系统政策根本无法限制此类卡的在线交易。 简单地说：网络骗子同样能从入门级信用卡内窃取资金。 跨境支付 由于汇率的波动，持卡人在进行跨境在线支付和境外取款时总会遇到这样或那样的问题。其中主要的风险之一便是对持卡人不利的汇率波动。 “此类情况下可能最多需要进行4次汇率换算：从电子商务平台终端、收款行、支付系统最后到发卡行”。Dobrinyuk提醒说道。

卡巴斯基GReAT团队于近期发布了针对Equation网络间谍小组活动的研究报告，其中揭示了大量所谓的”技术奇迹”。该历史悠久且技术强大的黑客小组开了一系列复杂的”可植入”恶意软件，但其中最有趣的发现是该恶意软件能够对受害人的硬盘进行重新编程，进而隐藏这些”植入病毒”因此几乎”坚不可摧”。 作为计算机安全领域期待已久的”恐怖故事”之一 –永远存在于计算机硬盘且无法被清除的病毒数十年来被认为是一段”都市传奇”，但似乎人们花费了数百万美元只是为了将其变为现实。有些新闻报道煞有其事地宣称Equation黑客小组所开的这一恶意软件能让网络黑客”窃听全球大多数计算机”。然而，我们只是想尽可能地还原事实的真相。所谓能够”窃听全球大多数计算机“就像熊猫能在马路上走路一样不现实。 首先，让我们解释一下什么是”对硬盘固件重新编程”。通常一块硬盘由两个重要部件组成–存储介质（传统硬盘使用磁盘，而固态硬盘则采用闪存芯片）和微芯片，而后者则真正控制对硬盘的读写以及许多服务程序，例如：错误检测和修正。由于这些服务程序数量众多且相当复杂，因此从技术上说，一块芯片就好比是一台小型计算机，用于处理各种复杂的程序。芯片的程序被称为固件，而硬盘供应商可能不时需要对其进行升级更新：修正已发现的错误或改善性能。 而这一机制恰恰被Equation黑客小组所滥用，从而能够将其自己的固件下载到12种不同类型（按不同供应商/差异区分）的硬盘。修改后固件的功能依然不得而知，但因此计算机上的恶意软件却获得了在硬盘特定区域读写数据的能力。我们只能假设这一区域完全对操作系统甚至特定合法软件隐藏。而这一区域的数据即使硬盘格式化后也依然可能幸存，并且从理论上说固件能通过从一开始感染新安装的操作系统进而对硬盘引导区进行再感染。为了简化之后的工作，固件都是依靠自身检查和重新编程，因此就无法检验固件完整性或可靠地将固件重新上传至计算机。换句话说，受感染的硬盘固件根本无法被检测出，因此也就”坚不可摧”了。最简单和省钱的办法是将可能被感染的硬盘丢弃，重新买块新的。 但是，不用急着去找螺丝刀–我们并不认为这一终极感染能力会成为主流。就算Equation黑客小组可能也只用过几次而已，因此受害人系统存在硬盘感染模块的情况依然屈指可数。首先，对硬盘重新编程相比写入而言要复杂得多，可以将Windows软件作为例子。每一块硬盘的模块都是独一无二且造价相当昂贵，此外要编写出一个替代的固件也需要耗费相当长的时间和精力。黑客首先必须得到硬盘供应商的内部文档（几乎不可能），购买一些同一型号的硬盘，编写和测试所需的功能并将恶意程序植入现有固件，与此同时还需要保持其原先的功能。这是一个浩大的工程，需要花费数月进行研发并投入数百万美元的资金。因此在一些用于犯罪的恶意软件或大部分的有针对性攻击中，几乎不太可能使用此类隐藏技术。此外，固件开发显然只能小范围进行，无法简单地大规模进行。许多硬盘厂商每月都会针对多款硬盘发布固件，新型号产品也层出不穷，因此要黑客入侵每一款型号的固件对于Equation以及其他所有黑客小组而言几乎不可能实现（也没有这个必要）。 因此，真实的情况是–感染硬盘恶意软件不再是传奇了，但对于大多数用户而言不存在任何风险。千万不要轻易丢弃自己的硬盘，除非你是在伊朗的核工业工作。但却需要对一些我们已老生常谈的风险多加注意，比如因密码薄弱或反病毒软件长久未更新而导致黑客入侵。

高级持续性威胁（APT）是信息安全专家常常挂在嘴边的话题，这种攻击通常利用最最尖端复杂的黑客工具。但对于普通大众来说，这种威胁似乎与己无关。 对于公众来说，最广为人知的一些攻击类似于间谍小说中的情节。直到最近，APT还不是人们关注的话题，因为绝大多数APT针对的是政府机构，其中所有调查细节高度保密，并且实际造成的经济影响难以估计，原因显而易见。 然而，今时不同往日：APT已将触角伸入商业领域，更准确的说是银行业。结果可想而知：以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 攻击套路 为了渗透到银行内网，黑客利用定向钓鱼邮件来诱导用户打开邮件，借机使用恶意软件感染电脑。一旦成功，黑客就会在用户电脑上安装一扇后门，后门基于Carberp银行恶意软件源码，此项行动也由此得名为Carbanak。 以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 获得对电脑的控制权后，黑客会以此电脑作为入口点，探测银行内网并感染其他电脑，目的是找出能用于访问关键金融系统的电脑。 找到这样的电脑后，黑客将研究银行使用的金融工具，并利用键盘记录软件和隐蔽的截屏功能来查看和记录银行职员屏幕上的一切信息。 随后，为了完成行动，黑客会根据具体情况定义最为便利的方法来盗取资金，他们或者使用电汇转帐，或者建立一个假的银行账户，利用钱骡直接取现，或向ATM机发送远程指令吐钱。 这种银行网络盗窃行为的持续周期平均为两到四个月，从感染电脑的第一天开始算，一直到最终取现为止。 估计损失 黑客以某种方式从入侵的每家银行盗取250万美元到1000万美元，即便分别来看，此金额也相当惊人。假设有数十家，甚至上百家金融机构因APT攻击导致资金被盗，累计总损失很有可能达到10亿美元，令人瞠目结舌。 被ATP攻击导致持续严重损失的国家包括俄罗斯、美国、德国、中国和乌克兰。目前，Carbanak蔓延范围不断扩大，目前马来西亚、尼泊尔、科威特和若干非洲国家都已发现APT攻击。 据卡巴斯基实验室发布的信息，Carbanak所利用恶意软件的首批样本早在2013年8月创建。第一例感染发生在2013年12月。第一次有记录的成功盗取发生在2014年2月到4月间，攻击高峰时间是2014年6月。 很明显，除非被捕，否则黑客绝不会就此罢手。目前，众多国家网络防御中心和多家国际机构，包括欧洲刑警组织（Europol）和国际刑警组织在内（Interpol）都展开了调查行动。卡巴斯基全球研究分析小组（GReAT）也在其中贡献了自己的一份力量。 如何防御这种威胁？ 下面要告诉卡巴斯基用户一些好消息： 卡巴斯基实验室的所有企业级产品和解决方案都能检测到已知的Carbanak恶意软件样本：Backdoor.Win32.Carbanak和Backdoor.Win32.CarbanakCmd。 为了确保您的防御等级保持在高水平，我们建议您启用主动防御模块，卡巴斯基的所有产品版本中都含有此模块。 此外，还有一些小贴士，可保护您不受这种及其他安全威胁： 绝不打开任何可疑电子邮件，尤其是带附件的邮件。 定期更新使用的软件。例如，这次攻击行动利用的并不是零日漏洞，而是供应商之前打过补丁的已知漏洞。 启用反病毒软件中的启发式检测：此功能将提高极早检测到恶意软件样本的几率。 若要了解Carbanak行动的更多信息以及卡巴斯基GReAT小组调查的详细信息，请查看Securelist上的相关博文。

几个星期前，有人在Reddit网站发帖，帖子内容引述了三星智能电视服务条款：”请注意，如果你所说的话中包含了个人隐私或其他敏感信息，那些信息将被捕捉并通过您使用语音识别功能传输给第三方。” 在随后的几天，不管是旧媒体还是新媒体甚至是雪城大学的官方博客均陆续发表了关于智能电视窃听用户隐私的看法。不幸的是，在专业人士针对智能电视操作系统编写隐私扩展或类似”请勿追踪”和“广告拦截“的插件之前，唯一能阻止此类追踪的方法就是禁用语音识别功能。 让我来首先承认这样一个事实：我其实不管对三星过去的Google电视、现在的三星智能电视还是未来的Tizen 操作系统都不太熟悉，因此我无法确认反追踪或其它类似浏览器的插件是否能真的能起到作用。 然而在我从智能电视厂商的应用开发和审批程序所了解到的是，并没有阻止任何人编写隐私附加元件的明确政策，也不存在针对包括三星在内的所有智能电视系统的强大隐私插件。 如果你认为三星是唯一一家制定此类服务条款合同的智能电视厂商的话，我只能非常遗憾地告诉你：远不止三星一家 更为不幸的是，如果你认为三星是唯一一家制定此类服务条款合同的智能电视厂商的话，我只能非常遗憾地告诉你：远不止三星一家 苹果全部产品系列均保留以下权利：”使用[客户]个人信息以用于例如：审查、数据分析以及研究的内部目的，旨在改进苹果产品、服务和客户沟通”。同样，苹果也允许与其所有”附属公司”共享这些信息。 值得赞赏的是，苹果保证Siri不会保存用户iPhone手机外的位置信息。然而，苹果的隐私政策并没有明确表示Siri页面是否收集、保存或共享用户向Siri语言输入的信息。我们为此向苹果询问这方面的问题。但我并没有对苹果是否能作出回应抱有太大希望。 此外，Google也承认收集用户所使用服务的信息，尽管它巧妙地在弹出窗口内隐藏了详细内容，但依然有这些信息不幸被收集：数据使用和系统偏好设置、Gmail消息（顺便说下，就是消息的内容）、G+用户资料信息、照片、视频、浏览历史记录、地图搜索以及文档（即保存在你文档中的内容）等其它Google托管内容。 唯一了解某一家公司如何处理你个人数据的方式是阅读他们的隐私服务条款声明 我们只举了其中的几个案例而已，而唯一了解某一家公司如何处理你个人数据的方式就是阅读他们的隐私服务条款声明。然而，我们都知道这些声明文件篇幅过长、复杂难懂且使用了许多难以理解的法律术语。我们通常都会直接在”我已阅读并同意”选项上打钩，但真正读过内容的人几乎没有。 就算有人真的阅读了这些条款，但真正理解其中含义的也屈指可数。是否应直接勾选”阅读并同意”而不将整个内容看一遍，关于这一点长期存在争议。就目前而言，直接勾选”阅读并同意”已成为大部分用户的一种习惯，无论你内心是否真的非常渴望了解这些隐私声明和条款。 对于未来到底如何目前很难作出预测，但越多越多的联网设备将推出市场却是事实，其中许多就拥有更为强大的语音识别功能。Google、苹果、三星以及其它一些科技巨头在这一方面的技术稍领先于业内其它公司。无论你同意与否，这些公司已经意识到了隐私的问题。他们可能会将你的个人信息出售给第三方，但在这之前至少会考虑一下。 由于大多数应用厂商将语音识别功能和激活服务加入其产品的历史不超过十年的时间，且缺少更多有价值的隐私处理经验，因此我们还需要耐心等待。好吧，让我们一起拭目以待，到时候这一领域必将变得非常有趣。

有时候，飞行恐惧症患者会有些让人难以理解。虽然有些人并不承认自己害怕飞行，但他们一坐上飞机，就会疯狂地用Google搜索飞机注册号，目的是了解飞机的制造时间，之前飞过哪些地方。接着就是在Twitter上发贴：”刚上飞机，发现飞机居然比我还老！#震惊#死定了”，或者是”上帝保佑，千万别飞着飞着就散架了”。在某些情况下，飞行恐惧症患者甚至会干脆选择不飞了。 所有论坛上都会有人问：”我要乘坐XYZ航班，有谁知道它们的机队有多新吗？” 不管是航空公司还是旅行社，在宣传材料中，都时不时会把飞行恐惧症患者的一般信条拿出来利用一把，他们要么号称自己拥有”最年轻的机队”，要么就是按飞机机龄列出航空公司报价。 逻辑上的谬论 这种误解背后的推理非常简单：许多人认为飞机就和汽车差不多。据称，一辆汽车在全新的时候性能最好，在5到7年以内性能”可以接受”。而一辆20年的老车只能作为农村运羊的工具。 但即便就汽车而言，这一逻辑也是有漏洞的：一辆全新的出租车跑上三年就完全报废了，而一辆有年份的 “甲壳虫”特别款也许还光亮如新，似乎刚刚从生产线上下来 － 当然，前提是车主平时把车停在车库中，只偶尔短途旅行时才拿出来用一下。复古车迷就更不用说了，他们会把引擎盖擦得闪闪发亮，连一丝灰尘都不会放过。 当然，飞机是一种全天开足马力工作的运输工具：航空公司为了保证投资回报率（ROI）最高，会千方百计地搭载最多的客货，但这是否就意味着飞机和出租车一样，几年之后就会变成一堆废铁呢？不要惊慌！ 服役时间是关键 对于航空业，适航性取决于剩余服役年限、飞行小时数以及起飞和降落次数；其中每种因素都须单独进行评测。这就是为什么有些飞机会很快变成超龄机，原因就是它们飞的是短途频繁起降的航班。 “服役年限”适用于各种不同的情况。一种类型的”服役年限”是设计服役年限，是指设计者针对具体飞机型号所设计的最短”预期寿命”。换句话说，设计服役年限类似于保修期：比如新电视，1年保修意味着电视在第一年使用中不会出现问题，即电视或可正常工作2年、5年，甚至10年，期间一次故障都不出（而且大多数情况下确实如此）。 另一种类型的”服役年限”是”指定服务年限”，在此年限后即报废。此年限是在特定类型的飞机飞行一段时间后确定的。飞机服役一段既定的时间后，会对其状况进行全面评测，估计还能无故障飞行多长时间。 通常，”指定服役年限”是”设计服役年限”的2到3倍。指定服役年限到期并不说明飞机就不能飞了。特定类型飞机在机体状况进行仔细检查，并经过大修（O/H）后，可延长其指定服役年限。 定期维护 飞机的大修间隔期是严格规定的。有所谓第一次大修期以及大修间隔期（TBO）的说法。在某些情况下，根据制造商的强制规定，一些完全能正常运行的部件也要更换成新的。大修间隔期也可根据具体情况延长。 No used life-limited part should be installed on aircraft unless history of part

流行的移动消息服务WhatsApp于上月发布了其网页版，该服务允许用户在其喜爱的网页浏览器上使用WhatsApp —但必须用的是Google Chrome浏览器，才无需将个人的WhatsApp网页版账户与iPhone手机配对。 像往常一样，《卡巴斯基每日中文博客》最感兴趣的还是WhatsApp网页版的安全问题。尽管该服务仅公开发布了一个月不到的时间，但一些漏洞已被发现，与之相关的安全事件也时有发生。 Indrajeet Bhuyan是一名来自印度的年仅17岁的科技类博客博主和安全研究者，他发现了两个的确存在于WhatsApp网页版和移动版之间互动过程中的有趣bug。首先要搞清楚的是，网页版客户端只是WhatsApp移动应用程序的一个扩展，是通过映射移动设备的会话然后在Chrome浏览器上显示，其工作原理在WhatsApp官方博客上已与所介绍。因此当用户的iOS移动设备无法连接互联网的时候，就可以使用WhatsApp网页版。 大多数WhatsApp网页版bug在某种程度上与移动应用程序有关的可能性很大，Bhuyan已对其所发现的bug很好地进行了演示。 Bhuyan所发现的其中一个bug与删除的照片有关，也与移动版和网页版之间同步的方式有关。如果用户将WhatsApp与新的网页版服务配对后删除一张照片的话，该照片也将在移动版本应用程序内被删除。然而，据Bhuyan称，任何删除的照片将依然能在网页版客户端上看到。但在另一方面，一旦消息被从移动应用上删除后，网页版应用也将同步删除。 另一个Bhuyan所发现的bug与用户资料隐私选项有关。用户可以将用户资料照片选择向所有人或用户联系列表内的人公开，或者完全保密。Bhuyan宣称，如果选择仅向联系列表内的人公开你的用户资料照片的话，但事实上所有想看到的人都能通过网页版应用看到。下面这段视频说明了一切： Bhuyan在自己的博客上发布了一篇对其研究的简要分析文章，而Bhuyan本人从14岁起就在这个博客上开始发布与科技有关的文章。《卡巴斯基日报》随后联系到了WhatsApp，但该公司对此没有做出任何回应。 卡巴斯基实验室研究人员Fabio Assolini长期追踪利用平台公共利益实施诈骗的网络犯罪行为。据Securelist报道，此类网络诈骗活动通过模仿WhatsApp安装网页，将官方的Google Chrome插件替换成假冒的。要想安装WhatsApp网页版，用户需要访问web.whatsapp.com并用移动设备扫描二维码图片。当然，网络骗子采用的方式是部署含有恶意二维码的山寨网站来感染用户设备。 事实上，Assolini还提到了网络骗子围绕桌面版WhatsApp的网络诈骗活动早在WhatsApp网页版推出前就已屡见不鲜了。他表示已经注意到几个售卖巴西网银木马病毒的恶意域名将自己装扮成假冒的Windows 版WhatsApp。 如果你打算安装WhatsApp网页版的话，确保访问的是正确的网站。 Assolini发现还有其他的犯罪集团利用人们对于WhatsApp网页版客户端的新鲜感，专门收集电话号码以实施昂贵短信服务的诈骗活动，通过将这些电话号码在一些短信服务上注册，受害用户将不得不向犯罪分子支付昂贵的”服务费”。 我们非常期待想了解WhatsApp网页版的安全防范能力是如何领先于其它消息服务的。 目前最好的建议是：如果你打算安装WhatsApp网页版的话，确保访问的是正确的网站。

每个孩子都知道任何味道好吃、稀奇古怪或颜色鲜艳的食物事实上对人体健康是有危害的。有一句来自Winston Churchill、Oscar Wilde或Alexander Woollcott的谚语是这样说的：”所有我真正喜欢做的事情，不是非法的，便是不道德的，要不就是替自己催肥。” 如果根据热力学第二定律，我们完全可以明白这句谚语的其中道理。然而，生活充满了各种可能性，每一条定律都有其例外情况存在，大多数已经过科学验证。 让我们举一些有趣的例子。喝咖啡上瘾迟早会对健康造成损害（每一名好医生都会这样说），但与此同时，喝咖啡上瘾却能有效降低患上黑素瘤的风险，这一观点已得到美国近期的一项医学研究成果的证明；该项研究成果发布在了著名的《美国国家癌症研究所杂志》上。 喝咖啡上瘾迟早会对健康造成损害，但与此同时，喝咖啡上瘾却能有效降低患上黑素瘤的风险 事实很简单：每天喝4杯以上的咖啡能够将患恶性肿瘤风险降低20%。喝得越少意味着患肿瘤的风险越高，但需要牢记的是脱因咖啡无法对降低患肿瘤风险产生任何作用，目前没有任何证据表明脱因咖啡能起到任何作用。 当然，20%不算太高也不算低，每年因患黑素瘤而死亡的人数有5万人之多，且这一数字在逐年上升。但有一些确定的因素会造成死亡，大多数人患黑素瘤的主要原因有两个：一是暴露在阳光下的时间过长，二是遗传原因。 事实上，饮用咖啡和患皮肤癌的低风险性之间的关联在一些挪威和意大利早年出版的科学论文上已有所引用。但当时这些统计数据不足以证明其关联程度。 这项新的研究总历时长达10年时间，在对近50万美国白人的大范围调查取样后而得出处的结果。此外，研究人员还考虑了一些其它的重要因素，包括：性别、年龄、体育活动、肥胖、不良习惯以及天气等。 研究人员还注意到与患黑素瘤风险高低相关的其他行为模式还有酒精、吸烟以及高学历。吸烟能稍微降低一些患黑素瘤的风险，但酒精和高学历却起到了相反作用。后者的相反作用尽管让人感到奇怪，但高收入、高学历人群的享受生活方式-热衷于晒太阳一定程度上解释了这一疑问。但通常情况下，这两项因素的影响力极其有限。 研究人员在其研究中对这些影响因素的使用慎之又慎，并承认这些关联性带有一些猜测的意味（所宣称的关联性有一定巧合）。然而，研究表明包括咖啡因的咖啡内有益成分事实上的确能够对由强烈紫外线照射所引起的致癌产生影响。 研究人员还表示，紫外线防晒霜能够有效抵御太阳光照射，且效果远超每天喝数升咖啡所起到的防癌作用。 对于那些无法克服不良生活习惯的人来说，美国医学博士在《欧洲心脏杂志》所发布上的另一篇研究成果可谓是是又一条”福音”。 众所周知，经常性饮酒对心血管系统有害，同时还会提高心力衰竭的风险。在研究期间得到的新数据表明这些影响力完全由具体的饮用量而决定。少量饮酒的话并不会对身体造成任何危害，反而会起到有益作用。 研究成果如下：每周饮酒7个参考单位的男性相比不饮酒的男性能有效地将患心脏病风险降低20%。对于女性而言，这一数字较低一些（16%）。研究人员将17克乙醇（相当于100-150克葡萄酒、一小罐啤酒或30-40克烈酒）作为一个参考单位。 每周饮酒7个参考单位的男性相比不饮酒的男性能有效地将患心脏病风险降低20%。 如果每周的饮酒量超过这一数字的话，对人体的有益作用将逐步消失。如果每周饮酒量是研究人员所建议数字两倍的话（每周14个参考单位），其患心脏病风险将高于不饮酒的人。如果每周饮酒量超过21个参考单位，则过早死亡的风险将有所提高（无论出于什么原因）。 所得到的数据采集自对不分人种的美国青年和中年人的抽样调查（整个研究过程历时25年时间）。 与本文开头提到的研究相似的是，该项研究成果也并非全新观点：在这以前也曾发布过类似的研究成果，但该项研究所使用的统计数据却相当庞大，因此可信度极高：总计有约15万人接受调查，且整个研究过程历时25年的时间。 该篇研究论文的作者们警告目前还不能对饮酒和降低患心脏病风险的关联性下绝对的定论。我们只能说有一定关联而已，但其确切的因果关系依然还未得到验证。除此之外还有另一个重要的问题：喝哪一种酒更有助于长寿？这个问题有待相关研究人员的进一步发现。 上述所有研究的本质是什么？过度放纵根本无助于更健康的生活，也没有任何一项科学研究是在为抽烟或酗酒寻找借口。我们只需思考一下”没有被普遍接受的真理是绝对的”这句话的意义。打个比方，就算有再多迹象显示盒子内所装的东西，但只有真正打开盒子那一刻才能知道里面到底装的是什么。

一旦用户浏览类似于笔记本电脑或炖锅等商品，以后每次打开浏览器，相关的网店广告将从此形影不离。这正是所谓的”上下文广告”推广：大量追踪用户在线活动的合法方式。今天，我们将教会您如何摆脱这些最常见的已知追踪者。 谁在监视我们？ 这个问题的答案即简单又复杂：基本上来说，每一个人都有嫌疑。 用户受到几乎所有流行资源的追踪，但广告网络服务首当其冲；最流行的广告网络服务包括：Google关键字广告（双击）、Oracle Bluekai、Atlas Solutions（隶属于Facebook的一个事业部）以及AppNexus等等。这些网络服务都受到类似于存取计算器和其它网页分析工具的追踪。 社交网络同样不甘落后。流行的视频分享网站（例如：YouTube）、AddThis社会性书签服务以及评论Disqus插件同样也在密切追踪用户。而社交网络并不仅仅只追踪你在评论墙上的活动；如今，所有网站均采用流行网络服务提供的按键或窗体小部件，从而实现对用户的进一步追踪。 追踪方法 追踪的方法有许多。许多网站均具备获取基础用户数据的能力：浏览器会自动泄露你的IP地址、软件版本信息或所用显示器分辨率等内容。将所有各种看似无关的信息整合到一起后，广告商完全能仅凭这些信息为用户量身定制广告方案。 Cookies是在浏览会话结束后保存的小文件，里面含有验证信息、系统预设以及经常访问的网站板块等。凭借每一名用户的唯一识别符，重复最多的Cookies被用于追踪用户并收集相关数据。 正如我们所注意到的，社交网络按键是一种功能强大且使用方便的追踪工具：此外，与普通网页恰恰相反的是，社交网络是通过你的名字了解到你，因此能够收集到很大一部分的额外数据。 另外还有一些不太常见的追踪方法，且适用范围有限。例如，Adobe Flash插件部署了能存储可追踪的”局域对象”的系统。一台PC电脑还可通过高速缓存浏览器内容被识别出来。其实这样的方法还有很多。 追踪对于用户而言有何危害性？ 我们对广告商所积累的数据类型和容量几乎一无所知；你永远无法弄清其中的真相，而用户协议的真实法律效力也无从考量。对此你只能大概地去猜测。 在线追踪根本与其表面看似的无关联性可谓大相径庭。尽管在互联网上的一举一动都受到监视，但依然有一个始终缠绕心头的问题摆在我们面前：谁可能想要得到互联网公司苦心收集（无论是出于善意的还是恶意的）的庞大数据量？ 没有任何证据表明这些信息被安全地保存：成千上万用户登陆凭证遭泄的大型隐私外泄事件常常成为各大报刊的头版头条。这也是为什么每一名用户都应该行动起来，抵制互联网公司再如此肆无忌惮地收集您的信息。 保护方法 其实也有一种万无一失的方法：关闭自己的PC电脑并将它锁在一个安全的箱子里。 首先，更改一些浏览器的设置。你可以有效避免被追踪；如此，浏览器将会通知网络资源你不想共享用户数据，并打上一个大大的”标题”：请勿追踪。这一方法的前提是追总代理足够诚实，因此其有效性依然打上了一个问号：许多网站通常都会忽略”请勿追踪”。 此外，用户必须禁用自动扩展安装并启用阻止可疑网站和弹出窗口的功能，并对SSL证书强制检查。 阻止第三方cookies（广告网络cookies，而非你的网站cookies）也同样非常重要。考虑到这一点，你应该能想到广告网络正是凭借几种成熟的追踪技巧转移第一方cookies，因此需要启用一次性验证且保持不变。 如今的浏览器均提供单独窗口的无痕浏览功能：一旦被关闭后，会话上的所有数据均会被清除，因此大大加大了追踪的难度。使用这一模式，你可以轻松浏览所有网站而无需任何验证。 此外，还可通过请求式的插件激活功能摆脱追踪（通过点击启动Adobe Flash等）。当然也不要忘了清除浏览器中的高速缓存内容。 另外，最后请拒绝一切搜索面板、搜索助手和安装浏览器时提供的其它扩展–这些是需要用户同意后才能安装的合法间谍软件。

在我们最近的一篇博文《银行卡欺诈：针对ATM机的犯罪活动》中，我们介绍了”盗读者”们如何通过其独特的犯罪手段轻松窃取我们的卡内资金。这一犯罪活动之所以依然猖獗的主要原因是：银行仍然使用的是上世纪70年代的银行卡安全系统技术。卡内磁条上的数据以’纯文本’的形式编写，而PIN码只是一段很短的安全数字，因此非常容易被盗。而最关键的问题是，这是唯一保护您银行账户的安全措施。 毋庸置疑的是，金融业每天都因各种欺诈活动而遭受巨额的资金损失，因而他们正不遗余力地部署更为先进的交易安全技术。 到目前为止，最成功的技术非启用芯片的银行卡（或被称为EMV卡）技术莫属。随着欧洲和加拿大大范围采用这一技术，这些地区和国家的复制卡犯罪案数量得以大幅下降。使用读卡器的”盗读者”们不得不转战EMV卡还未普及使用的美国和亚洲地区，以寻求作案机会。 然而，先进的EMV系统可能会对银行卡保护起到一定作用，但并非是理想选择也无法保护任何所能想象到的威胁—假设盗读技术依然不断得到发展和进步。在不久的将来，最大的可能性是我们使用不同类型的银行卡。 那未来到底会有哪些类型的银行卡呢？让我们共同一探究竟。 密码和回答 最先想到的解决方案是再加一层安全保护—比如广泛运用于互联网的双重认证方法。 当在线支付时，除了银行卡背面的CVV2安全代码以外，持卡人还需输入随即生成的密码：以短信形式发送到手机的、ATM打印的或由银行授权硬件工具生成的代码。如果涉及金额很大的话，双重认证还可以被用于离线交易。 带集成显示屏的银行卡就部署了类似的认证方法。此类情况下，常规信用卡也可配备内置微型计算机（包括LCD显示屏和数字键盘）。除了生成一次性密码以外，还可显示账户余额和历史交易记录等内容。 尽管首张交互式银行卡早在5年多前就已问世，但仅有欧洲、美国和亚洲发达国家的特定几家银行可向客户提供。 按需”生成”磁条 一家美国公司Dynamics研究出了一项更为奇特的解决方案。就表面意思来说，该卡内的确没有固定的磁条。所谓的”磁条”由该卡内的硬件按需动态生成，而用户首先需要通过卡上集成键盘输入密码。 如果你碰巧忘记了密码，则磁条将无法生成，造成交易也无法进行。此外，该卡也没有通常的16位数卡号：一部分位数并未直接印刻在塑料卡片上，而在输入密码后显示在卡上的微型显示屏上。 指纹确认交易 密码可能是保护自己银行卡的强大武器，但对于健忘且无法保密的人而言几乎毫无用处。我们都听说过这样的故事：”聪明过头”持卡人将PIN码写在卡片上，随后就连卡一起丢失了。 基于生物统计的验证方法可以彻底解决这一问题。一家总部位于挪威的公司Zwipe与万事达卡合作，目前正在试验以确定在信用卡上集成指纹扫描器的可能。一旦成功推广的话，以后确认交易只需将手指按在卡上接触片即可确认交易。 量子技术将大有可为 尽管已研究了数十载，但完全可操作量子计算机仍然遥不可及。但希望依然存在：量子技术的某些功能可用来创建无法伪造的标识符。 来自屯特大学和埃因霍芬理工大学的荷兰研究人员计划将基于量子的安全系统理念运用于信用卡和个人证件上。尽管这项技术依然停留在实验室试验阶段，但基于量子的安全系统的模型目前正在开发之中并有了正式的名字-量子安全认证（QSA）。 一张普通塑料卡片的一小部分涂有一层非常薄的氧化锌（又称”锌白）。随后再小心地对该部分进行激光光子扫射。当射到纳米粒子时，光子会在氧化锌层内部随意反射。这一过程能够改变粒子层的光学性质，进而形成一个独一无二的秘钥。 任何尝试潜入系统的其它探测器将破坏至少一部分光子的量子状态，并导致攻击者的整个入侵过程以失败而告终。 如果有人对此类银行卡发射一系列激光脉冲（例如：’提问’），他们会收到一个确定的反射模式（例如：’回答’）。独一无二的’提问-回答’组合包被保存在银行数据系统内，并被用于验证秘钥。 犯罪分子将无法在交易过程中拦截提问-回答组合包。任何尝试潜入系统的其它探测器将破坏至少一部分光子的量子状态，并导致攻击者的整个入侵过程以失败而告终。 无论采用何种方式入侵该安全系统，伪造的银行卡必须大小完全一样，此外也必须满足位置和纳米粒子其它参数上的一致，如此才能保持和原卡的精确一致。但由于工艺实在过于复杂因此在实际操作中根本不可行。 QSA开发人员表示，尽管这一技术理念看似复杂，但完全可以利用现有的技术和方法，因此要部署这一技术相对简单且价格低廉。 快中有慢 银行立刻部署上述安全系统的可能性很小。金融业通常都相当保守，且真正大规模部署该项新技术需要耗费巨额成本。 考虑到这一点，我们相当确定支付方法创新将首先出现在非银行类的服务中：例如，类似于已为人们熟知的Apple Pay或Google Wallet的新支付系统；或像Coin、Wocket和Plastc这样前途光明的”黑马”（我们将在以后与您分享有关它们的故事）。

私下交易市场往往充斥着各种骗子。许多人会通过类似于易趣的网上拍卖和网购平台购买智能手机和其它手机配件。 每天有数千种手机配件在这样的网站上进行交易，其中就包括了流行的苹果设备。那些想在网上购买/卖出手机的人可能会遭受各式各样的欺诈，因为有些第三方买家/卖家很可能就是网络骗子。本篇博客将为您提供目前最流行的几种欺诈方法。 1.价格过低和预先付款 如果有卖家的货品价格极低且需要预先付款的，这时候你就要留一份心了。这样的卖家通常有理有据（例如：急需用钱和免费赠送两台类似设备等）–一旦付款后，你收到的很可能是一台二手设备（而不是事先说好的新货）、损坏的设备或根本什么都收不到。大多数情况下千万不要在收到货品前预先付款。只有一种情况例外：卖家的信誉度极高—比如有几百个好评的易趣账号。 2.损坏的设备以及塞满蜡烛和废纸的包装盒 甚至一些本地实体店和网上商城都会欺骗你。许多骗子以电池电量过低需要充电才能打开，因此不能立即检查的借口向实体店出售损坏的设备。这些骗子都是老手且巧令辞色。 当受害人满心欢喜地拿着新买的设备回家后，打开包装才发现根本就不能使用，郁闷的心情可想而知。相同的情况也在那些通过Craigslist免费广告购买iPad Mini和iPhone 4S手机的人身上时有发生。骗子卖家一旦收到货款后，即消失得无影无踪，受害人根本无从寻找。受害人打开包装盒，满怀期待的苹果设备不翼而飞，只剩下一块熔化的蜡烛和一本笔记本。 3.使用安卓系统的中国山寨iPhone手机 许多人明知是中国生产的山寨iPhone手机也会去买，只是因为价格便宜。只能说每个人的选择不同。但有时候山寨的却被当成正品来卖。有些山寨手机从外观看上去几乎可以以假乱真。比如，在这段视频中，你们可以看到一款以Goophone品牌出售的山寨iPhone手机。你能分辨出它的真伪吗？ 有一个简单的技巧可以检查是否是山寨机。由于山寨iPhone手机运行的是安卓操作系统，因此你只需开机看看支持哪种应用商店：Google Play（山寨）还是App Store（正品iPhone手机）。 4. 被盗设备 如果你打算买二手iPhone手机，收到被偷手机的机会很大。没有一种可以直接验证的方法；但可以间接调查是否是偷来的。查看卖家资料和其他买家的评论。浏览由该卖家账号发布的其它广告。如果你想亲自检查的话，可以比较包装盒上的代码、序列号和IMEI（移动设备国际身份码）是否与手机设置内所提供信息相符。 5.翻新机 购买原厂翻新iPhone手机可以为你节省部分额外费用，因为原厂会仔细检查机器的内部和外部，并细心修正所有存在的问题。如果是第三方公司翻新的话，机器的维修质量将无法保证。 6.远程锁定和勒索 谨防不法之徒！有时候，当你购买了一台二手手机后发现”发现我的iPhone” 功能（仅iOS 6及以上版本）被锁住了。不久之后，这些不法之徒会恐吓受害人：例如，受害人所购买手机是他们被偷走的手机，并威胁要报警。要想让设备正常工作，可以在购买之前重置为默认设置。 如果你想出售自己用过的手机，确保已清除里面的所有资料。否则的话，那就要做好被勒索或敲诈的准备，尤其是内存卡里还存储了重要信息的手机。如果真的不幸发生的话，应该立即将手机远程锁定。 7. 虚假网店和不正当的买家/卖家 有时候网络黑客会建造一些临时的网站，事实上却是虚假的网上商场，目的旨在收集信用卡信息和其它敏感数据。受害人因在这些网站上出售手机而导致自己的详细银行信息遭泄露，里面的钱也被转走。此外，这些数据还会被用于从你的信用卡内窃取资金。 8.抢劫、假币、欺诈和其它一些老式的行骗方法 如果你从本地卖家手上购买二手iPhone手机的话，为了防止被抢劫，记得在有免费Wi-Fi的公共场所交易，并现场检查设备是否正常运行。 如果是付现金的话，最好支付准确的数目。这不管对卖家还是买家而言都有好处，这样可以防止找钱时收到假币。千万不要向对方换零钱。时刻保持警惕，也不要碍于面子而不多数两遍钱或多检查几次设备是否完好无损。

我们信赖上帝；但上帝以外的我们需要好好再检查一番-在网络安全方面我们都有一套聪明行事方法，这其中当然包括了对流行二维码的使用。很少有人会怀疑张贴在银行、公共交通工具甚至博物馆这样场所内的正式广告上的二维码都会被”掉包”。然而近期发生的众多案件表明一些合法的二维码竟然被不法分子巧妙地调换成恶意代码。 扫描之前检查是否安全！ 有一些方法可以防范和解决针对二维码的网络钓鱼攻击，但这离不开你自身的防范和警惕意识。在你准备扫描任何二维码时，你必须使用抱有怀疑态度–万一这个是替代合法二维码的恶意代码呢？检查即将扫描的二维码链接可能听起来并不好玩，但却有可能避免遭受二维码网络钓鱼攻击。幸运的是，在如今这个数字时代，有一种更简单的方法可以保护你自己，例如：免费的卡巴斯基二维码扫描器应用程序。 其运行方式和普通的二维码扫描器并无二异，但加入了一些必不可少的功能：该应用程序会检查每一个扫描的二维码。卡巴斯基二维码扫描器能让你快速、简单和安全地访问网站、图片和文本，还能为你安全连接Wi-Fi并迅速保存名片内的联系方式而无需手动输入。 该应用程序提供苹果iOS和Google安卓两个版本。(目前在中国地区，只有iOS版本）。其操作界面整洁、简单且使用方便，不存在任何不必要的功能：先扫描和检查，如果安全的话再自动打开。一旦发现危险，即会发出警告。 使用卡巴斯基二维码扫描器可确保移动设备安全，免遭二维码欺诈。确保借助卡巴斯基的安全移动经验来检查其它应用程序，例如：卡巴斯基安全浏览器（iOS版和Windows手机版）、卡巴斯基安全网络安卓版以及卡巴斯基密码管理器（iOS版和安卓版）。

你是否有想过10年后的大部分办公室将变成什么样子？ 我们首先会想到的可能是出现在”科幻小说”中一些虚构的高科技设备：进门处的视网膜扫描器；具有人工智能的机械战警；在一间豪华会议室的老板3D影像等—所有这些科学幻想只是对当今现实生活的复制，并加入了极客对于数字世界的无聊想象。 现实毕竟还是现实，没有还多天马行空的东西，但在某些方面可能更让人感到震撼。接下来我们将为您介绍一些目前尚存争议的办公趋势，但很可能在未来的几年内让我们所熟知的办公室发生天翻地覆的变化。 无论走到哪里都是你甜蜜的家 从铺天盖地的广告和连篇累牍的相关文章来看，似乎在家工作将在不久的将来成为主流。这一观点得到了相关统计数据的支持：此类家庭办公室的数量在不断增加中。 尽管美国固定远程工作的总人数并未超过5%，但临时被雇佣进行远程工作的人数已达到美国总雇员人数的一半左右。 远程家庭办公室的蓬勃兴起可以追溯到10年以前，当时互联网用户数量的增长速度达到了顶峰。但近几年，互联网用户的增长速度某种程度上已经稳定。全美固定远程工作的总人数（包括自由职业者）并未超过群过总雇员人数的5%。 而与此同时，临时的远程工作则成为了一种更普遍的现象。今天，你坐在公司的办公室内工作。第二天，你却在飞机上准备PPT演示文稿。随后，你又坐在另一座城市的咖啡厅内回复邮件。这几乎是一半美国人工作方式的真实写照。 哪里都是你的办公室！ 任何曾经远程工作过的人，都非常享受去公司现场工作的时光，至少第一个小时的确如此。大量研究证明与工作同事的近距离接触（不是你想象的那种！）能大大提高工作效率。据Strategy Plus consultancy统计，在最繁忙时办公室空间的平均利用率仅为42%，灵活并能重新组合的开放式空间为员工提供了更多近距离沟通的机会。 但这并不一定意味着我们必须坐在一起工作。减小个人的工作空间将能有效降低办公空间闲置率，同时还能提升工作效率。这一理念在挪威Telenor电信公司内被证明相当有效，该公司早在2003年就部署了这一系统。 Google和IBM同样是共享工作空间理念的积极倡导者。 在咖啡机旁交流工作 大部分人都认同这样一个事实：公司最重要的决议并非是在会议室讨论出来的，而通常是在咖啡机或饮水机旁。 如今的办公室格局设计师将这一理念奉为金玉良言，并加入了一些科学的思维。在一些”最时髦”办公室，其内部格局设计都有助于来自不同部门的员工在此类”重要决策区域”进行一些’未经计划’的小型会议。 这是如何实现的呢？各个部门的所有咖啡机和饮水机都被装在了一个大型的”聚集区域”，公司的所有员工被迫只能在这个区域和同事进行工作交流– 这些方法已被Google和三星的开发部门所采用。 躺着工作和思考 在不久的将来，传统式的”办公桌+办公椅”工作区域很可能将在一些公司的办公室内消失。这样的做法并非是为了节省办公场地租赁成本，而为了员工的健康考虑。 久坐不动的工作方式被证明对健康有极大的损害。举个例子，据一项研究显示，一名年龄在45岁的员工每天坐在办公室超过11个小时的话，其在未来3年过世的几率将比平均值高出40%。 一家荷兰的艺术建筑公司RAAAF决定通过建造一间带有实验性质的工作室来解决这一问题。该工作室被戏称为’The End of Sitting’（久坐终结者），内部架构与传统的办公空间截然不同，更像是一座现代化的游乐场。在里面你无法像传统办公场所那样正常端坐，因为里面到处堆满了塑料叠层板。但你可以随心所欲地躺着、站着或将自己夹在两块板之间的狭小空间，甚至还可以蜷缩在一个球里面。由于没有特定工作区域可以让你长时间舒适地端坐不动，因此在工作时每个人都被迫需要到处走动。 为了让这个实验尽可能地真实，一群’年轻的专业人士’被安排在这间”办公室”内工作3周时间，并能够顺利地进行工作。实验结果证明，尽管参与者都抱怨双脚走动得有些疲惫，但明显感到比传统办公室更有活力。要显示实验的公正性似乎邀请一些更’年长’的员工参与更有说服力，但不知什么原因这些专家最终还是决定暂时终止实验。 站住！来人是谁？ 男孩子是不是都觉得指纹和视网膜扫描器看起来非常酷且颇具未来主义风格！然而一般来说，办公室目前最可行的门禁控制是基于可编程的电子锁，比方说用智能手机开门。 该解决方案的优势在于价格低—此类电子锁已被用于大众市场的智能家庭配置。每一名员工都会收到一个灵活配置的安全配置文件并使用临时数字证书开门进入。虽然即简单又高效，但没有特定配置智能手机的外人将难以进入。